Europarat und Parlament einigen sich über Sicherheitsanforderungen im Cyber Resilience Act

Der von der EU geplante und seit September 2023 im Trilog verhandelte Cyber Resilience Act (CRA), der in der Industrie für ähnlich viel Aufmerksamkeit sorgt wie der AI Act, ist die erste horizontale Cybersicherheitsgesetzgebung. Das Ziel des CRA ist die verbesserte Sicherheit von Produkten mit digitalen Elementen, also insbesondere von vernetzten Embedded Systemen, wie sie in allen internetfähigen Geräten zu finden sind. Dazu gehören sowohl moderne Haushaltsgegenstände, wie Heimkameras oder Kühlschränke als auch industrielle Fertigungsmaschinen. Dabei treffen die Pflichten des CRA nicht nur die Hersteller solcher Geräte, sondern jeden, der sie auf den europäischen Markt bringt, also auch Händler und Importeure.

In dieser letzten Phase der Gesetzgebung wurde der Kommissionsvorschlag nochmals stark diskutiert, sodass die am 30.11.2023 gemeldete vorläufige Einigung zwischen Rat und Parlament Hoffnung gibt, dass der CRA bald angenommen wird.

Die wesentlichen Inhalte des Kompromisses sind folgende:

  • Die Einstufung digitaler Produkte in Klassen unterschiedlicher Kritikalität, welche unterschiedliche Verpflichtungen mit sich bringen, wurde vereinfacht
  • Für die Anwendungsdauer der Anforderungen gilt grundsätzlich die vom Hersteller bestimmte Produktlebensdauer, es wurden jedoch mindestens fünf Jahre festgelegt, außer ein Produkt hat eine deutlich kürzere erwartete Lebensdauer
  • Aktiv ausgenutzte Schwachstellen müssen zuerst an die nationalen Behörden gemeldet werden, statt direkt an die ENISA (Agentur der Europäischen Union für Cybersicherheit)
  • Die Vorschriften sollen erst ab 36 Monate nach Inkrafttreten des CRA gelten

In den kommenden Wochen wird der vereinbarte Kompromisstext ausgearbeitet, der dann noch von beiden Organen bestätigt werden muss.

 

Bisherige Beiträge des JIPS zu diesem Thema: https://www.jura.uni-saarland.de/?s=Cyber+Resilience+Act


Quellen: